第09講典型黑客攻擊之(一)拒絕服務(wù)攻防

第09講典型黑客攻擊之(一)

拒絕服務(wù)攻防9.1DoS攻擊的概念9.2DoS攻擊的現(xiàn)象與原理9.3如何組織DDoS攻擊9.4DDoS攻擊實(shí)例9.5DDoS的防范1目標(biāo)、重點(diǎn)、難點(diǎn)目標(biāo)：理解DoS的概念，了解DoS攻擊的現(xiàn)象,理解如何組織一次DDoS攻擊,了解DoS攻擊的防范方法..重點(diǎn)：DDoS攻擊方法\防范方法難點(diǎn)：DDoS攻擊方法29.1DoS攻擊的概念DoS是DenialofService的簡稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機(jī)無法再處理合法用戶的請求。DoS攻擊3分布式拒絕服務(wù)(DDoS:DistributedDenialofService)攻擊是目前黑客經(jīng)常采用而難以防范的攻擊手段。分布式拒絕服務(wù)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機(jī)上，在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的許多計算機(jī)上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。DDoS攻擊4DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。

5DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。隨著計算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機(jī)的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了-目標(biāo)對惡意攻擊包的"消化能力"加強(qiáng)了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個攻擊包，但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個攻擊包，這樣一來攻擊就不會產(chǎn)生什么效果。6這時侯分布式的拒絕服務(wù)攻擊手段（DDoS）就應(yīng)運(yùn)而生了。你理解了DoS攻擊的話，它的原理就很簡單。如果說計算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍，用一臺攻擊機(jī)來攻擊不再能起作用的話，攻擊者使用10臺攻擊機(jī)同時攻擊呢？用100臺呢？DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻，以比從前更大的規(guī)模來進(jìn)攻受害者。7高速廣泛連接的網(wǎng)絡(luò)給大家?guī)砹朔奖?，也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時代時，黑客占領(lǐng)攻擊用的傀儡機(jī)時，總是會優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器，因?yàn)榻?jīng)過路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以G為級別的，大城市之間更可以達(dá)到2.5G的連接，這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起，攻擊者的傀儡機(jī)位置可以在分布在更大的范圍，選擇起來更靈活了。89.2DoS攻擊的現(xiàn)象與原理被DDoS攻擊時的現(xiàn)象:被攻擊主機(jī)上有大量等待的TCP連接網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，源地址為假制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出特定的服務(wù)請求，使受害主機(jī)無法及時處理所有正常請求嚴(yán)重時會造成系統(tǒng)死機(jī)910DDoS攻擊原理:如圖一，一個比較完善的DDoS攻擊體系分成四大部分，先來看一下最重要的第2和第3部分：它們分別用做控制和實(shí)際發(fā)起攻擊。請注意控制機(jī)與攻擊機(jī)的區(qū)別，對第4部分的受害者來說，DDoS的實(shí)際攻擊包是從第3部分攻擊傀儡機(jī)上發(fā)出的，第2部分的控制機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。對第2和第3部分計算機(jī)，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺上，這些程序與正常的程序一樣運(yùn)行并等待來自黑客的指令，通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時，這些傀儡機(jī)器并沒有什么異常，只是一旦黑客連接到它們進(jìn)行控制，并發(fā)出指令的時候，攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。11有的朋友也許會問道："為什么黑客不直接去控制攻擊傀儡機(jī)，而要從控制傀儡機(jī)上轉(zhuǎn)一下呢？"。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說，肯定不愿意被捉到（我在小時候向別人家的雞窩扔石頭的時候也曉得在第一時間逃掉，呵呵），而攻擊者使用的傀儡機(jī)越多，他實(shí)際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺機(jī)器后，高水平的攻擊者會首先做兩件事：1.考慮如何留好后門（我以后還要回來的哦）！2.如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺到。比較不敬業(yè)的黑客會不管三七二十一把日志全都刪掉，但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒了就會知道有人干了壞事了，頂多無法再從日志發(fā)現(xiàn)是誰干的而已。相反，真正的好手會挑有關(guān)自己的日志項(xiàng)目刪掉，讓人看不到異常的情況。這樣可以長時間地利用傀儡機(jī)。12但是在第3部分攻擊傀儡機(jī)上清理日志實(shí)在是一項(xiàng)龐大的工程，即使在有很好的日志清理工具的幫助下，黑客也是對這個任務(wù)很頭痛的。這就導(dǎo)致了有些攻擊機(jī)弄得不是很干凈，通過它上面的線索找到了控制它的上一級計算機(jī)，這上級的計算機(jī)如果是黑客自己的機(jī)器，那么他就會被揪出來了。但如果這是控制用的傀儡機(jī)的話，黑客自身還是安全的。控制傀儡機(jī)的數(shù)目相對很少，一般一臺就可以控制幾十臺攻擊機(jī)，清理一臺計算機(jī)的日志對黑客來講就輕松多了，這樣從控制機(jī)再找到黑客的可能性也大大降低。139.3如何組織DDoS攻擊這里用“組織”這個詞，是因?yàn)镈DoS并不象入侵一臺主機(jī)那樣簡單。一般來說，黑客進(jìn)行DDoS攻擊時會經(jīng)過這樣的步驟：

1.搜集了解目標(biāo)的情況下列情況是黑客非常關(guān)心的情報：被攻擊目標(biāo)主機(jī)數(shù)目、地址情況目標(biāo)主機(jī)的配置、性能目標(biāo)的帶寬14對于DDoS攻擊者來說，攻擊互聯(lián)網(wǎng)上的某個站點(diǎn)，如，有一個重點(diǎn)就是確定到底有多少臺主機(jī)在支持這個站點(diǎn)，一個大的網(wǎng)站可能有很多臺主機(jī)利用負(fù)載均衡技術(shù)提供同一個網(wǎng)站的www服務(wù)。以yahoo為例，一般會有下列地址都是提供服務(wù)的：7

8

9

0

1

3

4

615如果要進(jìn)行DDoS攻擊的話，應(yīng)該攻擊哪一個地址呢？使7這臺機(jī)器癱掉，但其他的主機(jī)還是能向外提供www服務(wù)，所以想讓別人訪問不到的話，要所有這些IP地址的機(jī)器都癱掉才行。在實(shí)際的應(yīng)用中，一個IP地址往往還代表著數(shù)臺機(jī)器：網(wǎng)站維護(hù)者使用了四層或七層交換機(jī)來做負(fù)載均衡，把對一個IP地址的訪問以特定的算法分配到下屬的每個主機(jī)上去。這時對于DDoS攻擊者來說情況就更復(fù)雜了，他面對的任務(wù)可能是讓幾十臺主機(jī)的服務(wù)都不正常。16所以說事先搜集情報對DDoS攻擊者來說是非常重要的，這關(guān)系到使用多少臺傀儡機(jī)才能達(dá)到效果的問題。簡單地考慮一下，在相同的條件下，攻擊同一站點(diǎn)的2臺主機(jī)需要2臺傀儡機(jī)的話，攻擊5臺主機(jī)可能就需要5臺以上的傀儡機(jī)。有人說做攻擊的傀儡機(jī)越多越好，不管你有多少臺主機(jī)我都用盡量多的傀儡機(jī)來攻就是了，反正傀儡機(jī)超過了時候效果更好。17但在實(shí)際過程中，有很多黑客并不進(jìn)行情報的搜集而直接進(jìn)行DDoS的攻擊，這時候攻擊的盲目性就很大了，效果如何也要靠運(yùn)氣。其實(shí)做黑客也象網(wǎng)管員一樣，是不能偷懶的。一件事做得好與壞，態(tài)度最重要，水平還在其次。182.占領(lǐng)傀儡機(jī)黑客最感興趣的是有下列情況的主機(jī)：鏈路狀態(tài)好的主機(jī)性能好的主機(jī)安全管理水平差的主機(jī)19這一部分實(shí)際上是使用了另一大類的攻擊手段：利用形攻擊。這是和DDoS并列的攻擊方式。簡單地說，就是占領(lǐng)和控制被攻擊的主機(jī)。取得最高的管理權(quán)限，或者至少得到一個有權(quán)限完成DDoS攻擊任務(wù)的帳號。對于一個DDoS攻擊者來說，準(zhǔn)備好一定數(shù)量的傀儡機(jī)是一個必要的條件，下面說一下他是如何攻擊并占領(lǐng)它們的。20首先，黑客做的工作一般是掃描，隨機(jī)地或者是有針對性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機(jī)器，象程序的溢出漏洞、cgi、Unicode、ftp、數(shù)據(jù)庫漏洞…(簡直舉不勝舉啊)，都是黑客希望看到的掃描結(jié)果。隨后就是嘗試入侵了，具體的手段就不在這里多說了，感興趣的話網(wǎng)上有很多關(guān)于這些內(nèi)容的文章。21總之黑客現(xiàn)在占領(lǐng)了一臺傀儡機(jī)了！然后他做什么呢？除了上面說過留后門擦腳印這些基本工作之外，他會把DDoS攻擊用的程序上載過去，一般是利用ftp。在攻擊機(jī)上，會有一個DDoS的發(fā)包程序，黑客就是利用它來向受害目標(biāo)發(fā)送惡意攻擊包的。223.實(shí)際攻擊

經(jīng)過前2個階段的精心準(zhǔn)備之后，黑客就開始瞄準(zhǔn)目標(biāo)準(zhǔn)備發(fā)射了。前面的準(zhǔn)備做得好的話，實(shí)際攻擊過程反而是比較簡單的。就象圖示里的那樣，黑客登錄到做為控制臺的傀儡機(jī)，向所有的攻擊機(jī)發(fā)出命令："預(yù)備~，瞄準(zhǔn)~，開火!"。這時候埋伏在攻擊機(jī)中的DDoS攻擊程序就會響應(yīng)控制臺的命令，一起向受害主機(jī)以高速度發(fā)送大量的數(shù)據(jù)包，導(dǎo)致它死機(jī)或是無法響應(yīng)正常的請求。黑客一般會以遠(yuǎn)遠(yuǎn)超出受害方處理能力的速度進(jìn)行攻擊，他們不會"憐香惜玉"。23老到的攻擊者一邊攻擊，還會用各種手段來監(jiān)視攻擊的效果，在需要的時候進(jìn)行一些調(diào)整。簡單些就是開個窗口不斷地ping目標(biāo)主機(jī)，在能接到回應(yīng)的時候就再加大一些流量或是再命令更多的傀儡機(jī)來加入攻擊。249.4DDoS攻擊實(shí)例著名的DoS攻擊有:1.死亡之PING2.淚滴3.UDP洪水4.SYN洪水5.LAND攻擊6.IP欺騙DoS攻擊7.塞滿服務(wù)器的硬盤25DDoS攻擊實(shí)例-SYNFlood攻擊SYN-Flood是目前最流行的DDoS攻擊手段，早先的DoS的手段在向分布式這一階段發(fā)展的時候也經(jīng)歷了浪里淘沙的過程。SYN-Flood的攻擊效果最好，應(yīng)該是眾黑客不約而同選擇它的原因吧。那么我們一起來看看SYN-Flood的詳細(xì)情況。26SynFlood原理-三次握手

SynFlood利用了TCP/IP協(xié)議的固有漏洞。面向連接的TCP三次握手是SynFlood存在的基礎(chǔ)。TCP連接的三次握手:

27如圖二，在第一步中，客戶端向服務(wù)端提出連接請求。這時TCPSYN標(biāo)志置位。客戶端告訴服務(wù)端序列號區(qū)域合法，需要檢查。客戶端在TCP報頭的序列號區(qū)中插入自己的ISN。服務(wù)端收到該TCP分段后，在第二步以自己的ISN回應(yīng)(SYN標(biāo)志置位)，同時確認(rèn)收到客戶端的第一個TCP分段(ACK標(biāo)志置位)。在第三步中，客戶端確認(rèn)收到服務(wù)端的ISN(ACK標(biāo)志置位)。到此為止建立完整的TCP連接，開始全雙工模式的數(shù)據(jù)傳輸過程。

28

SynFlood攻擊者不會完成三次握手

29假設(shè)一個用戶向服務(wù)器發(fā)送了SYN報文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成），這種情況下服務(wù)器端一般會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYNTimeout，一般來說這個時間是分鐘的數(shù)量級（大約為30秒-2分鐘）；一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個非常大的半連接列表而消耗非常多的資源----數(shù)以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內(nèi)存，何況還要不斷對這個列表中的IP進(jìn)行SYN+ACK的重試。。30實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰---即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之?。?，此時從正?？蛻舻慕嵌瓤磥恚?wù)器失去響應(yīng)，這種情況我們稱做：服務(wù)器端受到了SYNFlood攻擊（SYN洪水攻擊）。31在實(shí)驗(yàn)室中模擬的一次SynFlood攻擊的實(shí)際過程:這一個局域網(wǎng)環(huán)境，只有一臺攻擊機(jī)（PIII667/128/mandrake），被攻擊的是一臺Solaris8.0(spark)的主機(jī)，網(wǎng)絡(luò)設(shè)備是Cisco的百兆交換機(jī)。這是在攻擊并未進(jìn)行之前，在Solaris上進(jìn)行snoop的記錄，snoop與tcpdump等網(wǎng)絡(luò)監(jiān)聽工具一樣，也是一個很好的網(wǎng)絡(luò)抓包與分析的工具?？梢钥吹焦糁埃繕?biāo)主機(jī)上接到的基本上都是一些普通的網(wǎng)絡(luò)包。32…

…

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

?->(multicast)ETHERType=0000(LLC/802.3),size=52bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

6->55NBTDatagramServiceType=17Source=GU[0]

10->55NBTDatagramServiceType=17Source=ROOTDC[20]

47->55NBTDatagramServiceType=17Source=TSC[0]

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

00->(broadcast)ARPCWhois02,02?

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

6->55NBTDatagramServiceType=17Source=GU[0]

6->55NBTDatagramServiceType=17Source=GU[0]

10->55NBTDatagramServiceType=17Source=ROOTDC[20]

?->(multicast)ETHERType=0000(LLC/802.3),size=52bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

?->(broadcast)ETHERType=886F(Unknown),size=1510bytes

…

…33接著，攻擊機(jī)開始發(fā)包，DDoS開始了…，突然間sun主機(jī)上的snoop窗口開始飛速地翻屏，顯示出接到數(shù)量巨大的Syn請求。這時的屏幕就好象是時速300公里的列車上的一扇車窗。這是在SynFlood攻擊時的snoop輸出結(jié)果：34…

…

78->AUTHCport=1352

78->TCPD=114S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=115S=1352SynSeq=674711609Len=0Win=65535

78->UUCP-PATHCport=1352

78->TCPD=118S=1352SynSeq=674711609Len=0Win=65535

78->NNTPCport=1352

78->TCPD=121S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=122S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=124S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=125S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=126S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=128S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=130S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=131S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=133S=1352SynSeq=674711609Len=0Win=65535

78->TCPD=135S=1352SynSeq=674711609Len=0Win=65535

……35這時候內(nèi)容完全不同了，再也收不到剛才那些正常的網(wǎng)絡(luò)包，只有DDoS包。大家注意一下，這里所有的SynFlood攻擊包的源地址都是偽造的，給追查工作帶來很大困難。這時在被攻擊主機(jī)上積累了多少Syn的半連接呢？我們用netstat來看一下：36#netstat-an|grepSYN…

…

83.99.180100246560SYN_RCVD

83.139.180100246560SYN_RCVD

83.199.180100246560SYN_RCVD

83.219.180100246560SYN_RCVD

83.229.180100246560SYN_RCVD

83.239.180100246560SYN_RCVD

83.259.180100246560SYN_RCVD

83.379.180100246560SYN_RCVD

83.539.180100246560SYN_RCVD

…

…37

其中SYN_RCVD表示當(dāng)前未完成的TCPSYN隊(duì)列，統(tǒng)計一下：

#netstat-an|grepSYN|wc-l

5273

#netstat-an|grepSYN|wc-l

5154

#netstat-an|grepSYN|wc-l

5267

…..共有五千多個Syn的半連接存儲在內(nèi)存中。這時候被攻擊機(jī)已經(jīng)不能響應(yīng)新的服務(wù)請求了，系統(tǒng)運(yùn)行非常慢，也無法ping通。這是在攻擊發(fā)起后僅僅70秒鐘左右時的情況。389.5DDoS攻擊防范到目前為止，進(jìn)行DDoS攻擊的防御還是比較困難的。首先，這種攻擊的特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻擊。一位資深的安全專家給了個形象的比喻：DDoS就好象有1,000個人同時給你家里打電話，這時候你的朋友還打得進(jìn)來嗎？39不過即使它難于防范，也不是說我們就應(yīng)該逆來順受，實(shí)際上防止DDoS并不是絕對不可行的事情?；ヂ?lián)網(wǎng)的使用者是各種各樣的，與DDoS做斗爭，不同的角色有不同的任務(wù)。我們以下面幾種角色為例：企業(yè)網(wǎng)管理員ISP、ICP管理員骨干網(wǎng)絡(luò)運(yùn)營商40預(yù)防DDoS攻擊的十項(xiàng)安全策略本文是由編寫分布式拒絕服務(wù)攻擊工具TFN和TFN2K（這些工具曾被用于攻擊Yahoo等大型網(wǎng)站）的德國著名黑客Mixter（年僅20歲）提供41簡單地說，掌握所有可能導(dǎo)致被入侵和被用于實(shí)施拒絕服務(wù)攻擊的原因和安全漏洞是非常復(fù)雜的。詳細(xì)地說，沒有簡單和專門的方法保護(hù)不受到這些攻擊，而只能盡可能地應(yīng)用各種安全和保護(hù)策略。對于每個面臨安全威脅的系統(tǒng)，這里列出了一些簡單易行和快速的安全策略以保護(hù)免受這些攻擊。42

對于面臨拒絕服務(wù)攻擊的目標(biāo)或潛在目標(biāo)，應(yīng)該采取的重要措施：1、消除FUD心態(tài)FUD的意思是Fear（恐懼）、Uncerntainty（猜測）和Doubt（懷疑）。最近發(fā)生的攻擊可能會使某些人因?yàn)楹ε鲁蔀楣裟繕?biāo)而整天擔(dān)心受怕。其實(shí)必須意識到可能會成為拒絕服務(wù)攻擊目標(biāo)的公司或主機(jī)只是極少數(shù)，而且多數(shù)是一些著名站點(diǎn)，如搜索引擎、門戶站點(diǎn)、大型電子商務(wù)和證券公司、IRC服務(wù)器和新聞雜志等。如果不屬于這類站點(diǎn)，大可不必過于擔(dān)心成為拒絕服務(wù)攻擊的直接目標(biāo)。432、要求與ISP協(xié)助和合作獲得你的主要互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）的協(xié)助和合作是非常重要的。分布式拒絕服務(wù)（DDoS）攻擊主要是耗用帶寬，單憑你自己管理網(wǎng)絡(luò)是無法對付這些攻擊的。與你的ISP協(xié)商，確保他們同意幫助你實(shí)施正確的路由訪問控制策略以保護(hù)帶寬和內(nèi)部網(wǎng)絡(luò)。最理想的情況是當(dāng)發(fā)生攻擊時你的ISP愿意監(jiān)視或允許你訪問他們的路由器。443、優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)如果你管理的不僅僅是一臺主機(jī)，而是網(wǎng)絡(luò)，就需要調(diào)整路由表以將拒絕服務(wù)攻擊的影響減到最小。為了防止SYNflood攻擊，應(yīng)設(shè)置TCP偵聽功能。詳細(xì)資料請參閱相關(guān)路由器技術(shù)文檔。另外禁止網(wǎng)絡(luò)不需要使用的UDP和ICMP包通過，尤其是不應(yīng)該允許出站ICMP“不可到達(dá)”消息。454、優(yōu)化對外開放訪問的主機(jī)對所有可能成為目標(biāo)的主機(jī)都進(jìn)行優(yōu)化。禁止所有不必要的服務(wù)。另外多IP主機(jī)也會增加攻擊者的難度。建議在多臺主機(jī)中使用多IP地址技術(shù)，而這些